Nagy vihart kavart a Ledger tegnapi bejelentése. A piacvezető hardveres tárca legutóbbi frissítése egy új funkciót vezet be, ami lehetővé teszi, hogy a felhasználók havidíj ellenében egy seed jelszavak visszaállítására alkalmas szolgáltatást használjanak.
A csak előfizetéssel használható, de minden újabb kiadású tárcát ( Ledger Nano X) támogató szoftverben (egyelőre még csak Androidon és iOS-en) a háttérben futó, és sokak szerint óriási biztonsági rést jelentő Ledger Recover három részre osztja és három külsős cég felé továbbítja a felhasználó seed kulcsait, aki ha valamiért elvesztené a saját birtokában lévő jelszóhoz való hozzáférést, akkor ezeknél a cégeknél egy személyi igazolványos ügyfélazonosítással kérhetné, hogy adják át neki a biztonsági másolatokat.
Az elmúlt években a Ledger (és minden valamire való tárcaszolgáltató) kifejezetten arra kérte a felhasználóit, hogy soha, senkivel ne osszák meg a tárcáikhoz való hozzáférést garantáló seed kulcsot. Ezek után nem nehéz elképzelni, hogy milyen fogadtatásban részesült az ezzel teljesen szembemenő Recover bejelentése.
Egyes kommentelők szerint a cég gyakorlatilag ki is nyírta magát a tegnapi frissítéssel, mert hiába opcionális a Recover használata, a tárcákat vezérlő programban ott vannak a megosztást lehetővé tevő kódsorok, vagyis a felhasználók innentől kezdve soha nem lehetnek biztosak abban, hogy valaki nem hackeli-e meg és ezen keresztül nem szerzi-e meg tőlük a Ledger segítségével tárolt kriptóikat.
A cég szerint a szolgáltatás olyan titkosítási eljárással végzi a seed kulcsok feldarabolását és továbbítását, ami nem teszi lehetővé, hogy azt feltörhessék, erre azonban többen úgy reagáltak,, hogy ők egyáltalán nem akarnak megbízni a cég ígéretében, hanem teljesen ki akarják vetetni a programból az ezt támogató frissítést.
[banner id=”77461″ caption_position=”bottom” theme=”default_style” height=”auto” width=”auto” show_caption=”1″ show_cta_button=”1″ use_image_tag=”1″]
Ugyancsak szembemegy a kriptók szellemiségével a tárcák személyi igazolványhoz kötött azonosítása, amihez a visszaállítás során lenne szükség. Bár a szolgáltatás kapcsán érthető ennek fontossága, ezek az adatok immár több cég között kerülnének megosztásra, ahonnan bármikor kiszivároghatnak. Sokan még emlékezhetnek rá, hogy a Ledger maga is elszenvedője volt egy ilyen támadásnak, ami egymillió ügyfelüket érintette.
A Recover elsőként az Egyesült Államokban és Kanadában vált elérhetővé, a hivatalos oldal más országokból megtekintve a “Hamarosan érkezik” üzenettel fogadja a látogatókat. Az itt elérhető információk alapján a régebbi Nano S készülekek nem, csak az újabb Nano X változatok támogatják a havidíjas Recover szolgáltatás használatát. (Később a Nano S Plus és a Stax változatok is megkapják a Recover-t, a sima Nano S-eknél viszont a jövőben sem kell számítani erre.)
Kétségtelen, hogy vannak emberek, akik a múltban a seed kulcsaik nem megfelelő tárolása miatt vesztették el a hozzáférésüket a kripto tárcáikhoz. Semmi baj nem lenne azzal, ha valaki őket is kiszolgálná. Ehhez azonban talán jobb lett volna, ha a Ledger piacra dob egy teljesen új, kifejezetten a kezdőknek és a technológiák iránt kevésbé fogékonyaknak szánt terméket, és azon vezetné be ezt a helyreállító szolgáltatást, nem pedig a már meglévő és a biztonságot maximálisan szem előtt tartó felhasználóira kényszeríti rá a frissítést.
A Recover létezése önmagában is veszélyes lehet, összezavarhatja a felhasználókat, ami csalások új formáira ad lehetőséget. Míg eddig határozottan kijelenthettük, hogy a Ledger soha nem kérné a felhasználóit a jelszavaik megosztására, a jövőben már a cégtől érkező emailek tartalmában sem lehetünk biztosak. Vajon tényleg ők írták őket, vagy csak egy azokra hasonlító átveréssel próbálkoznak nálunk?
Egy új felhasználót méginkább megzavarhat a történet. Most akkor magamnak kell tárolnom a kulcsomat, vagy meg kell osztanom a Ledgerrel, meg más cégekkel is, mert a szolgáltató szerint úgy biztonságos? Ha feltörik a tárcámat, honnan tudhatom, hogy nem a Ledger volt? Én megadtam nekik az adataimat, csakis ők lehettek.
Ezek a bizonytalanságok a jövőben sok kérdést vethetnek majd fel, és nem számít, hogy hányszor lesznek elmagyarázva, sokan nem fogják megérteni, hogy pontosan mi is a különbség a saját magunk által privát tárcákban tartott és a haramadik feleknél tárolt kriptók között.
De hogy ne végig csak a Ledgert ekézzük, ők az a cég, akik alighanem már minden kriptók tárolásával kapcsolatos horror sztorit hallottak. Számtalan elvesztett kulccsal kapcsolatos megkeresés érkezhetett hozzájuk az elmúlt években, ami arra késztethette őket, hogy kifejlesszék ezt a szolgáltatást. A bevezetés módján viszont még finomíthattak volna. Az egyik napról a másikra, a sokak szemében biztonsági résnek számító (egyelőre még csak mobilos) szoftverfrissítés teljesen elutasító fogadtatása valószínűleg eltért attól, amire számítottak.
A Ledger a legnagyobb hardveres tárcákat gyártó vállalat. A 2014 óta működő cég eddig 6 modellt dobott piacra, melyekből ~4.5 millió darabot étékesítettek.
Kriptósok számára veszélyes is lehet a Google (2FA) Authenticator új frissítése